TẤN CÔNG TỪ CHỐI DỊCH VỤ GIỮA CÁC SIP PROXY KS Nguyễn Ngọc Qn Tổ NCPT An tồn thơng tin Tóm tắt: Hiện dịch vụ thoại IP phát triển mạnh mẽ thay dần dịch vụ thoại truyền thống Nhưng bên cạnh đó, nguy an ninh an toàn đe dọa trực tiếp đến dịch vụ Trong báo đề cập đến nguy từ chối dịch vụ vào miền trunk SIP Về kiểu công làm cho dịch vụ trở nên tải, người dùng gặp khó khăn việc gọi tới thuê bao cần gọi Bài báo nêu lên cách thức công giao thức SIP từ đưa biện pháp, khuyến nghị an ninh nhằm tăng cường bảo mật cho nhà cung cấp dịch vụ VoIP NGUYÊN LÝ HOẠT ĐỘNG CỦA SIP GIỮA CÁC SIP PROXY Giao thức khởi tạo phiên SIP (Secssion Initiation Protocol) giao thức điều khiển báo hiệu thuộc lớp ứng dụng sử dụng để thiết lập, trì kết thúc phiên multimedia hay gọi qua mạng IP Các phiên làm việc hội nghị đa phương tiện, gọi điện thoại điểm – điểm,… SIP Proxy (hay Proxy Server): coi router thiết bị đầu cuối SIP mà chuyển tiếp yêu cầu trả lời Vậy chức Proxy Server định tuyến Hình SIP Call Flow Trong nhiều trường hợp, SIP trunk đại diện địa IP “specific FROM number” Việc đáp ứng xác nhận chúng dựa xác thực chậm yêu cầu trường hợp đếm số gọi lớn Bởi thế, SIP trunk khơng có password khơng ứng dụng lọc sở IP cho xác nhận đường trunk Các SIP trunk sử dụng “specific FROM numbers” Proxy Fields để khởi tạo gọi Bên cạnh hầu hết đường trunks SIP có đặc quyền INVITE trực tiếp mà không cần REGISTER Nhà cung cấp mạng hệ (NGN) cung cấp dịch vụ SIP tới khách hàng Khách hàng gọi khách hàng nhà cung cấp mạng khác qua SIP Services SIP Gateways Các SIP Gateways sử dụng SIP Trunks cho khởi tạo gọi xác thực thực tính cước SIP Call Flow thể hình dưới: 278 - Kiểm tra cổng SIP đích cho INVITE Spoofing với tài khoản biết - Gửi IP Spoofed INVITE Requests - Tạo mẫu INVITE Spoofing  Địa IP cho vòng lặp (IP Addresses For Loop)  Số Port cho vòng lặp (Port Numbers For Loop)  Thay đổi biến INVITE (INVITE Variables) cho Spoofed IP Address and Port( địa IP Port ảo) Hình Mơ hình mạng mẫu cho NGN (mạng hệ tiếp theo) [1] Khi tin INVITE gửi để thiết lập gọi Proxy chuyển tiếp tin đồng thời trì kết nối cho thiết lập kết nối bị hủy hết thời gian time out Lợi dụng điều Attacker thực công cách gửi nhiều tin INVITE giả mạo Đích đến cơng Proxy Server  Thiết lập trường FROM IP:Port Cách thức tiến hành cụ thể cho tài liệu [1] Hậu việc công từ chối dịch vụ SIP phân đoạn SIP trunk làm cho SIP Proxy bị từ chối dịch vụ, đáp ứng gọi khách hàng Tấn công từ chối dịch vụ gây việc uy tín nhà cung cấp dịch vụ khác hàng, đằng sau mục đích cạnh tranh hay phá hoại BIỆN PHÁP NGĂN CHẶN TẤN CÔNG Anti – Spoofing: Bằng cách tạo danh sách User hợp lệ có quyền truy cập Mỗi User gán giá trị Priority dựa vào địa IP nguồn Ở có hình thức để lựa chọn: Hình Ngun lý cơng SIP Proxy Kết Proxy “bận ” chuyển tiếp tin giả mạo dẫn đến làm giảm hiệu Proxy, tệ gây treo phải khởi động lại CÁCH THỨC TIẾN HÀNH TẤN CÔNG TRÊN PHÂN ĐOẠN SIP TRUNK - Block tất User khơng có giá trị Priority truy cập vào, muốn truy cập User phải đăng ký - Không Block User mà thực xử lý theo cách sau: Ưu tiên chuyển tiếp tin User có gán giá trị Priority Cách thức tiến hành tổng kết lại sau: - Nhận tài khoản (Account) gọi khách - Nhận u cầu INVITE có sẵn Hình Biện pháp Anti-Spoofing 279 Yêu cầu xác thực: Lỗ hổng đường SIP trunks gửi tin INVITE trực tiếp mà khơng cần REGISTER Chính giải pháp đưa yêu cầu đường gửi tin INVITE kèm với việc xác thực User Call Flow trở thành: Hình Quy tắc sử dụng lọc [5] Kết thử nghiệm cho bảng đây: [5] Filters Hình Call Flow có xác thực [5] Sau nhận tin INVITE, thay chuyển tiếp tin SIP Proxy gửi lại cho bên gửi tin 407 (Proxy Authentication Required) có mã xác thực trường Proxy-Authorization Bản tin INVITE chuyển tiếp tới SIP Proxy chúng nhận mã xác thực tương ứng với địa IP nguồn - Ưu điểm: Đơn giản, tiết kiệm chi phí khơng phải cung cấp thiết bị hãng thứ 3, việc xác thực có chuẩn - Nhược điểm: SIP Proxy chức định tuyến cịn phải giải vấn đề xác thực, hiệu thiết bị giảm không bị công - Traffic Rate (CPS) Avg CPU (%) Good Spoof Flood of Req Off 240 800 800 85 On 240 7200 2400 42 Off 480 100 100 87 On 480 4800 2400 83 Các thiết bị lọc thông thường firewall, IDS với lựa chọn dùng riêng rẽ hay kết hợp hai Firewall IDS dùng luật (rules) làm sở cho lọc chúng Các biện pháp cụ thể đưa là: Thực sách giám sát lọc tin SIP dùng IDS: trì danh sách người dùng đáng ngờ làm sở cho quy tắc lọc Các yếu tố mà định xâm nhập trái phép dựa nguyên nhân gia tăng đột ngột lưu lượng đến Proxy gọi xuất phát từ User mà xác suất fail cao nội dung tin bị thay đổi đến máy chủ Nhận xét: Ngăn ngừa hồn tồn user khơng phép cơng vào miền SIP Trunk Đề xuất đưa dùng thiết bị chuyên dụng hãng thứ Các thiết bị hoạt động nguyên lý chung dùng lọc Thường dùng lọc lọc tin SIP sau lọc tin SIP hợp lệ 280 Firewall Filters OFF Traffic Composition Good Attack CPU CPS CPS Load % Non-Auth Traffic 690 88 240 20 480 81 Auth Good Traffic+ 240 2950 84 Dưới ví dụ rules IDS: Spoof Traffic 480 195 85 Alert ip $ EXTERNAL_NET any -> $SIP_PROXY_IP $ SIP_PROXY_PORTS (msg: “TAN CONG DOS SIP TRUNK”; content:” INVITE”; depth:6; threshold: type both , track by_src, count 100, seconds 60; sid: 5000005; rev:1; Auth Good Traffic+ 240 2970 87 Flood of Req 480 570 86 Auth Good Traffic+ 240 2970 87 Auth Good traffic Hình Biện pháp sử dụng IDS [6] Triển khai bảo vệ theo nhiều lớp cách đặt firewall trước IDS Mơ hình sau tham khảo: Fillter on Firewall Filters ON Traffic Composition Good Attack CPU CPS CPS Load % Non-Auth Traffic 690 88 240 40 480 82 Auth Good Traffic+ 240 16800 41 Spoof Traffic 480 14400 83 Auth Good Traffic+ 240 8400 41 Flood of Req 480 7200 83 Auth Good Traffic+ 240 8400 41 Auth Good traffic Hình Biện pháp sử dụng IDS kết hợp Firewall [6] Kết thu được:  Dựa việc lọc Packet: [6] Số lượng packet sau firewall/ tổng số lượng packet =40%  Dựa hiệu thiết bị: [5] 281 Protecting SIP against Very Large Flooding DoS Attacks, Felipe Huici, Saverio Niccolini, Nico d’Heureuse KẾT LUẬN Thực tế công DoS diễn thời gian ngắn hậu gây nghiêm trọng Bài báo giới thiệu nguy công vào miền SIP trunk gây dạng công DOS ATTACK đưa số biện pháp phòng ngừa Đồng thời đưa vài kết thử nghiệm để chứng minh điều SIP INVITE Flood: Testing an Asterisk VoIP Server against a DDoS Attack, Eric Reeves, October 17, 2011 Secure SIP: A Scalable Prevention Mechanism for DoS Attack on SIP Based VoIP Systems, Gaston Ormazabal, Sarvesh Nagpal, Edilon Yardeni, and Henning Schulzrinne TÀI LIỆU THAM KHẢO: Two layer Denial of Service prevention on SIP VoIP Infrastructures, Sven Ehlert, Ge Zhang, Dimitris Geneiatakis, Georgios Kambourakis, Tasos Dagiuklas, Jiri Mafkl, Dorgham Sisalem Hacking Trust Relationships of SIP Gateways, Fatih Özavcı Advanced Flooding Attack on a SIP Server, Xianglin Deng Thông tin tác giả: Nguyễn Ngọc Quân Sinh năm: 1985 Lý lịch khoa học: - Tốt nghiệp đại học kỹ thuật điện Quốc gia Saint Peterburgs, 2009, chuyên ngành khoa học máy tính - Hiện cơng tác Tổ NCPT An tồn thông tin thuộc Viện công nghệ Thông tin Truyền thơng – CDIT, Học viện Cơng nghệ Bưu Viễn thông Lĩnh vực nghiên cứu nay: an ninh hạ tầng mạng, an ninh ứng dụng bảo mật điện toán đám mây Email: quannn@ptit.edu.vn 282